Ei, estou usando o Active Directory em uma rede com cerca de 150 usuários, todos os membros de grupos diferentes com políticas diferentes, etc. Seria um grande problema para nossa rede se, por exemplo, por engano, um administrador um dia excluísse todos os usuários ou todos os grupos. .
algum de vocês conhece alguma maneira de fazer com que o AD crie logs de seus usuários e grupos atuais? Não suponho que possa criar um backup, mas apenas um formato de texto seria pelo menos alguma forma de conforto, para que pudéssemos ver como 'era'.
Responder1
Executar o AD sem backups confiáveis é um movimento limitador de carreira garantido.
Vocêpoderiause uma ferramenta como ldifde(documento) ou csvde(documento) para despejar objetos AD, mas isso realmente não será adequado para se recuperar de uma falha ou exclusão grave. Nesses casos, você precisa ter um backup confiável do seu ambiente do Active Directory e pode precisar executar uma operação chamada Restauração Autoritativa.
A Microsoft tem muita documentação sobrefazendo backup e recuperando o Active Directory, que vocêdeveria ler e entenderse você for responsável por manter o AD em sua organização. A partir do Server 2008, a Microsoft incluiBackup do Windows Server, que você deve usar se não tiver outro produto de backup que ofereça suporte à recuperação do estado do sistema Windows. (Na verdade, eu usoalém demeu produto de backup empresarial.)
Por último, se você estiver usando o melhor e mais recente Windows Server 2008 R2 E estiver executando um nível funcional do Server 2008 R2 Forest, talvez você queira dar uma olhada no novoLixeira do Active Directoryrecurso. Mas, novamente, isso não elimina a necessidade de ter um confiável,testadoprocesso de backup para sua infraestrutura AD.
Responder2
O backup do Active Directory é feito sempre que você faz um backup do estado do sistema do controlador de domínio. Você faz backup do seu controlador de domínio, correto? Certifique-se de que inclui o estado do sistema.
Mais aqui: http://www.youtube.com/watch?v=4ZgupfaJOG0
Responder3
Você não está sozinho se perguntando se existe uma maneira melhor de proteger objetos críticos no AD. As proteções nativas só levam você até certo ponto - sempre há a possibilidade daquele momento "oops" quando você comete um erro (excluir uma UO crítica, remover a conta de usuário do CEO ou algo simples como adicionar o cara errado ao grupo de administradores de domínio) e acho que talvez haja uma maneira melhor de se proteger.
Os backups são obrigatórios, mas em muitos casos uma restauração de todo o seu diretório não é uma resposta. É algo que você pode fazer se estiver desesperado, mas o erro ainda existe e você ainda está gastando muito tempo e recursos restaurando e reimplementando todas as alterações desde seu último backup válido.
Existem algumas ferramentas que resolvem esse problema sem a necessidade de recorrer a uma restauração completa do seu AD de algum momento no passado. Ferramentas que evitam proativamente a ocorrência de alterações críticas, bloqueando objetos críticos para que erros nunca aconteçam. A empresa para a qual trabalho possui essa ferramenta - StealthINTERCEPT para AD e GPOs - e uma rápida pesquisa no Google provavelmente pode encontrar outras. A abordagem do StealthINTERCEPT é identificar objetos-chave no AD e bloqueá-los. Bloquear o htem significa evitar que seus administradores (e você mesmo, se desejar) cometam certos erros críticos, controlando quando e se você pode excluir, mover, renomear ou modificar objetos no AD. A segurança fornecida pelo StealthINTERCEPT existe fora das permissões nativas do AD, o que significa que mesmo os usuários com o mais alto nível de privilégio em sua organização ainda podem contar com nossa ferramenta para evitar que façam coisas verdadeiramente destrutivas.
Se quiser ver a ferramenta em ação, assista a uma de nossas demonstrações ou entre em contato pelo e-mailhttp://www.stealthbits.com/contact-us-company.
Responder4
No meu entender, as florestas AD de nível Server 2008 fornecem umaLixeira de reciclagempara se recuperar de operações de exclusão acidental.
A Microsoft fornece umGuia passo a passosobre como usar a Lixeira no AD:
Além disso, você nunca deve conceder acesso administrativo a todo o seu domínio/floresta para pessoas que têm o hábito de fazer isso.qualquer coisa por acidente. Você quer pessoas que façam coisas"pelo livro".
O AD fornece unidades organizacionais para segmentar suas autoridades e permissões.Usa-os!Não deixe que um único usuário controle todo o seu diretório.
Claro, você pode ter uma única autoridade no topo de sua hierarquia, mas certifique-se de que seja alguém que leve o trabalho a sério e esteja ciente da importância dos dados que gerencia.
Resumindo, as pessoas queacidentalmenteexcluir coisas e quem não mantém backups desses dados não é o tipo de pessoa a quem você deve confiar seu diretório.